Tiêu chuẩn

Tiêu chuẩn ISO 27001 - ISO 27017 - ISO 27018 - ISO 27701 - NIST - COBIT - GDPR

1. ISO 27001 và ISO 27002

ISO 27001 và ISO 27002  là hai trong số các tiêu chuẩn phổ biến nhất về quản lý bảo mật thông tin hiện nay. Các tiêu chuẩn này cung cấp một khuôn khổ toàn diện cho các tổ chức muốn bảo vệ dữ liệu của mình thông qua các chính sách mạnh mẽ và các biện pháp thực hành tốt nhất.

Ban đầu được phát triển bởi  Tổ chức Tiêu chuẩn hóa Quốc tế (ISO ), các tiêu chuẩn này đặt ra các nguyên tắc và thông lệ đảm bảo các tổ chức thực hiện các biện pháp thích hợp để bảo vệ dữ liệu của họ. Từ quản lý tài sản và kiểm soát truy cập đến phản hồi sự cố và tính liên tục của doanh nghiệp, các tiêu chuẩn này cung cấp các hướng dẫn chi tiết để giúp các tổ chức bảo mật mạng của họ.

ISO 27001  là tiêu chuẩn quốc tế cung cấp phương pháp tiếp cận có hệ thống đối với việc đánh giá rủi ro, lựa chọn kiểm soát và triển khai. Tiêu chuẩn này bao gồm các yêu cầu để thiết lập Hệ thống quản lý an ninh thông tin (ISMS).

ISO 27002  là một bộ quy tắc thực hành phác thảo các biện pháp kiểm soát bảo mật cụ thể và chi tiết hơn. Khi được triển khai cùng nhau, hai tiêu chuẩn này cung cấp cho các tổ chức một phương pháp tiếp cận toàn diện đối với quản lý bảo mật thông tin.

 

2. Tiêu chuẩn ISO 27017

Tiêu chuẩn này bao gồm các lĩnh vực như trách nhiệm giữa nhà cung cấp dịch vụ đám mây và khách hàng của họ, chính sách bảo mật, bảo mật nguồn nhân lực, quản lý tài sản, kiểm soát truy cập, mật mã, bảo mật vật lý và môi trường, và tuân thủ trong số những thứ khác. Tiêu chuẩn này nhằm mục đích giúp cả hai bên hiểu và triển khai các biện pháp bảo mật hiệu quả dành riêng cho đám mây. Hướng dẫn này đặc biệt hữu ích trong bối cảnh của họ tiêu chuẩn ISO/IEC 27000 rộng hơn, hỗ trợ việc thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin (ISMS).

 

3. Tiêu chuẩn ISO 27018

Tiêu chuẩn này thiết lập các hướng dẫn và cung cấp các biện pháp cho các nhà cung cấp dịch vụ điện toán đám mây công cộng để bảo vệ thông tin nhận dạng cá nhân (PII) theo các nguyên tắc về quyền riêng tư như sự đồng ý, giảm thiểu dữ liệu, hạn chế mục đích và chất lượng và tính liên quan của dữ liệu. Tiêu chuẩn này cũng giải quyết các yêu cầu về tính minh bạch và cung cấp hướng dẫn thực tế về cách xử lý dữ liệu cá nhân trên đám mây tôn trọng quyền riêng tư của cá nhân.

 

4. Tiêu chuẩn ISO27701

ISO 27701 là tiêu chuẩn quốc tế tập trung vào quản lý thông tin riêng tư. Tiêu chuẩn này mở rộng các khuôn khổ ISO 27001 và ISO 27002 để quản lý bảo mật thông tin bằng cách thêm các yêu cầu cụ thể mà các tổ chức phải đáp ứng để quản lý rủi ro riêng tư liên quan đến việc xử lý thông tin cá nhân. ISO 27701 giúp các tổ chức thiết lập, triển khai, duy trì và liên tục cải thiện Hệ thống quản lý thông tin riêng tư (PIMS).

 

5. NIST - Viện Tiêu chuẩn và Công nghệ Quốc gia

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) là một cơ quan chính phủ chịu trách nhiệm thúc đẩy các tiêu chuẩn công nghệ và bảo mật tại Hoa Kỳ.  Khung An ninh mạng của NIST  cung cấp các hướng dẫn cho các tổ chức để xác định, bảo vệ, phát hiện, ứng phó và phục hồi sau các cuộc tấn công mạng. Khung này được tạo ra vào năm 2014 như một hướng dẫn cho các cơ quan liên bang, nhưng các nguyên tắc áp dụng cho hầu hết mọi tổ chức muốn xây dựng một môi trường kỹ thuật số an toàn.

Hiện đang ở  phiên bản thứ hai , khuôn khổ của NIST là một bộ toàn diện các biện pháp thực hành tốt nhất dành cho các tổ chức muốn cải thiện tình trạng bảo mật của mình. Nó bao gồm hướng dẫn chi tiết về quản lý rủi ro, quản lý tài sản, kiểm soát danh tính và truy cập, lập kế hoạch ứng phó sự cố, quản lý chuỗi cung ứng, v.v.

 

6. COBIT

Được phát triển bởi  Hiệp hội Kiểm toán và Kiểm soát Hệ thống Thông tin (ISACA) ,  Mục tiêu Kiểm soát cho Công nghệ Thông tin và Liên quan (COBIT)  là một khuôn khổ toàn diện được thiết kế để giúp các tổ chức quản lý tài nguyên CNTT của mình hiệu quả hơn. Khuôn khổ này cung cấp các thông lệ tốt nhất cho quản trị, quản lý rủi ro và bảo mật.

Khung COBIT được chia thành năm danh mục: Lập kế hoạch & Tổ chức, Thu thập & Triển khai, Cung cấp & Hỗ trợ, Giám sát & Đánh giá và Quản lý & Đánh giá. Mỗi danh mục chứa các quy trình và hoạt động cụ thể để giúp các tổ chức quản lý hiệu quả các nguồn lực CNTT của mình.

COBIT cũng bao gồm các hướng dẫn chi tiết về bảo mật và bảo vệ dữ liệu, bao gồm kiểm soát truy cập, xác thực người dùng, mã hóa, ghi nhật ký kiểm toán và các lĩnh vực ứng phó sự cố. Các hướng dẫn này cung cấp cho các tổ chức một bộ biện pháp toàn diện có thể được sử dụng để bảo vệ hệ thống của họ khỏi các mối đe dọa mạng.

 

7. Quy định chung về bảo vệ dữ liệu (GDPR)

Quy định bảo vệ dữ liệu chung (GDPR)  được thông qua vào năm 2016 để tăng cường các thủ tục và hoạt động bảo vệ dữ liệu cho công dân Liên minh châu Âu (EU). GDPR tác động đến tất cả các tổ chức được thành lập tại EU hoặc bất kỳ doanh nghiệp nào thu thập và lưu trữ dữ liệu riêng tư của công dân EU — bao gồm cả các doanh nghiệp Hoa Kỳ.

Khung này bao gồm 99 điều khoản liên quan đến trách nhiệm tuân thủ của công ty, bao gồm quyền truy cập dữ liệu của người tiêu dùng, chính sách và quy trình bảo vệ dữ liệu, yêu cầu thông báo vi phạm dữ liệu (các công ty phải thông báo cho cơ quan quản lý quốc gia trong vòng 72 giờ kể từ khi phát hiện vi phạm) và nhiều nội dung khác.

Mức phạt cho hành vi không tuân thủ rất cao; lên tới 20.000.000 euro hoặc 4% doanh thu toàn cầu, và EU không ngần ngại thực thi mức phạt này.

 

Tiêu chuẩn quốc tế phổ biến tại Việt Nam

Tiêu chuẩn Mục đích Áp dụng cho
ISO/IEC 27001 Hệ thống quản lý an toàn thông tin (ISMS) Mọi loại hình doanh nghiệp
ISO/IEC 27017 Bảo mật trên nền tảng Cloud (cloud provider + customer) SaaS, Cloud provider
ISO/IEC 27018 Bảo vệ thông tin cá nhân (PII) trên Cloud Các dịch vụ xử lý dữ liệu cá nhân
ISO/IEC 27701 Quản lý quyền riêng tư, mở rộng từ ISO 27001 Doanh nghiệp xử lý dữ liệu cá nhân (GDPR-like)
ISO/IEC 22301 Quản lý liên tục kinh doanh (BCM) Tài chính, ngân hàng, sản xuất
ISO/IEC 31000 Quản lý rủi ro tổng thể DN cần quản trị rủi ro chiến lược
SOC 2 / SOC 1 (AICPA) Đảm bảo bảo mật, tính toàn vẹn hệ thống Xuất khẩu dịch vụ IT, BPO, SaaS
PCI DSS Bảo mật dữ liệu thẻ thanh toán TMDT, fintech, ngân hàng
NIST SP 800 (CSF, 53, 171...) Khung kiểm soát an toàn, linh hoạt Doanh nghiệp có đối tác Mỹ hoặc xuất khẩu phần mềm
COBIT 2019 Quản trị CNTT và kiểm soát DN lớn, ngân hàng, viễn thông
HIPAA Bảo mật thông tin y tế (Mỹ) HealthTech, startup y tế phục vụ khách hàng nước ngoài
GDPR (EU) Bảo vệ dữ liệu cá nhân công dân EU DN phục vụ thị trường châu Âu

 

Khung pháp lý và chuẩn trong nước (Việt Nam)

Tên Cơ quan ban hành Nội dung chính
Luật An ninh mạng 2018 Quốc hội VN Bắt buộc các doanh nghiệp lưu trữ dữ liệu công dân VN trong nước, bảo mật hệ thống thông tin quan trọng quốc gia
Nghị định 53/2022/NĐ-CP Chính phủ Hướng dẫn thực thi Luật An ninh mạng: yêu cầu kỹ thuật, bảo mật, log, kiểm tra định kỳ
Thông tư 03/2022/TT-BTTTT Bộ TTTT Quy định cấp độ bảo mật hệ thống CNTT (Cấp độ 1–5), bắt buộc đối với hệ thống nhà nước và các hệ thống thông tin kết nối nhà nước
Thông tư 10/2020/TT-BTTTT Bộ TTTT Định nghĩa hệ thống thông tin quan trọng quốc gia và yêu cầu bảo vệ

 

Các tiêu chuẩn khác có thể áp dụng tuỳ mục tiêu

Tiêu chuẩn Khi nào nên áp dụng
CSA STAR (Cloud Security Alliance) Doanh nghiệp cung cấp dịch vụ cloud hoặc host dữ liệu quan trọng
ITIL v4 Cải thiện quy trình quản lý dịch vụ CNTT, helpdesk
CMMI (Capability Maturity Model Integration) Các công ty phần mềm cần nâng cao quy trình phát triển
Zero Trust Framework (NIST / Forrester) Doanh nghiệp cần bảo mật phân tán, truy cập từ xa, remote work
ISO 20000-1 Quản lý dịch vụ CNTT – phù hợp tổ chức có ITIL
OWASP Top 10 / ASVS Áp dụng cho doanh nghiệp phát triển phần mềm hoặc website có chức năng xử lý dữ liệu quan trọng

 

Tiêu chuẩn bảo mật theo lĩnh vực

Loại doanh nghiệp Mục tiêu / đặc thù Tiêu chuẩn phù hợp Ghi chú tư vấn
🏦 Doanh nghiệp tài chính / fintech / ví điện tử Giao dịch thẻ, xử lý tiền, API với ngân hàng 🔹 ISO 27001
🔹 PCI DSS
🔹 NIST SP 800-53
Nếu tích hợp ví / cổng thanh toán bắt buộc phải có PCI DSS
☁️ Doanh nghiệp SaaS / Cloud / hạ tầng IT Lưu trữ dữ liệu người dùng / khách hàng quốc tế 🔹 ISO 27001
🔹 ISO 27017 / 27018
🔹 SOC 2 (Mỹ)
🔹 CSA STAR
Dễ scale, nên tư vấn ISO 27001 trước rồi mở rộng ISO 27017 / CSA STAR
🏥 Doanh nghiệp y tế / healthtech Có dữ liệu bệnh nhân, nhạy cảm 🔹 ISO 27001
🔹 ISO 27701
🔹 HIPAA
🔹 NIST CSF
Nếu phục vụ thị trường Mỹ: bắt buộc HIPAA
🏢 Doanh nghiệp chuẩn bị IPO Bắt buộc kiểm toán bảo mật, log, phân quyền 🔹 ISO 27001
🔹 ISO 22301
🔹 NIST CSF
🔹 ITGC (Kiểm soát CNTT nội bộ)
Nên làm bộ chính sách + log + audit trail rõ
📦 Startup / Dịch vụ xuất khẩu phần mềm / IT outsourcing Làm việc với khách hàng quốc tế, có yêu cầu chứng chỉ 🔹 ISO 27001
🔹 SOC 2 Type I/II
🔹 ISO 27701
🔹 NIST 800-171
SOC 2 thường được yêu cầu bởi khách hàng Mỹ
🛒 Website thương mại điện tử / thanh toán online Có form đặt hàng, lưu thông tin người dùng 🔹 ISO 27001
🔹 PCI DSS
🔹 GDPR (nếu có user EU)
Lưu trữ dữ liệu khách hàng = xử lý PII
🏭 Công ty sản xuất / nhà máy có hệ thống OT Có hệ thống SCADA/PLC, cần bảo mật OT/IoT 🔹 ISO 27001
🔹 NIST SP 800-82
🔹 Zero Trust
OT cần kiểm soát khác biệt, thường bị bỏ sót
🏛️ Doanh nghiệp làm dự án chính phủ / dữ liệu công dân Phải tuân theo luật trong nước 🔹 Thông tư 03/2022/TT-BTTTT
🔹 Luật An ninh mạng
🔹 ISO 27001
Dễ kết hợp ISO để tạo bộ hồ sơ tiêu chuẩn quốc tế
📈 DN cung cấp dịch vụ kế toán / pháp lý / tư vấn Lưu nhiều dữ liệu nội bộ khách hàng 🔹 ISO 27001
🔹 ISO 27701
🔹 NIST CSF
Nhấn mạnh vào bảo mật dữ liệu & hợp đồng